Skip to main content
QUICK REVIEW

[論文レビュー] Scanning the IPv6 Internet: Towards a Comprehensive Hitlist

Oliver Gasser, Quirin Scheitle|arXiv (Cornell University)|Jul 18, 2016
Network Security and Intrusion Detection参考文献 15被引用数 25
ひとこと要約

本稿では、受動的フローデータ、公開DNSリソース(CAIDA や Alexa など)、複数のベンチマークポイントからの traceroute 測定を組み合わせることで、アクティブスキャン用の包括的なIPv6アドレスリストを生成するハイブリッド手法を提案する。4週間にわたり、1億5000万件のユニークなIPv6アドレスを同定し、アドレスの発表済みプレフィックスの72%、自律システム(AS)の84%をカバーした。ICMPv6の応答率は、プロトコル内プローブよりも高く、時間経過に伴う安定性は、単純なアドレス数よりも優れた指標であることが判明した。

ABSTRACT

Active network measurements constitute an impor- tant part in gaining a better understanding of the Internet. Although IPv4-wide scans are now easily possible, random active probing is infeasible in the IPv6 Internet. Therefore, we propose a hybrid approach to generate a hitlist of IPv6 addresses for scanning: First, we extract IPv6 addresses from passive flow data. Second, we leverage publicly available resources such as rDNS data to gather further IPv6 addresses. Third, we conduct traceroute measurements from several vantage points to obtain additional addresses. We perform multiple active measurements on gathered IPv6 addresses and evaluate response rates over time. We extensively compare all IPv6 address sources. In total we found 150M unique IPv6 addresses over the course of four weeks. Our hitlist covers 72% of announced prefixes and 84% of Autonomous Systems. Finally, we give concrete recommendations to maximize source efficiency for different scan types.

研究の動機と目的

  • アクティブスキャン用に、効率的かつ包括的なIPv6アドレスリストを生成するための体系的で包括的な手法を開発すること。
  • さまざまなIPv6アドレスソースのカバレッジ、応答率、時間的安定性を評価すること。
  • スキャンタイプ(例:構造発見、セキュリティポストゥア、ルータースキャン)に応じた最適なソース選定に関するデータドリブンな推奨事項を提供すること。
  • プライマリIPv6アドレス数の重要性を疑問視し、長期的な安定性とプレフィックス/ASカバレッジの重要性を強調すること。

提案手法

  • 主要な大学のアップリンクおよび大規模なヨーロッパのIXPから受動的フローデータを収集し、アクティブなIPv6アドレスを同定する。
  • 公開DNSデータセット(CAIDA、Alexa Top 1M、ゾーンファイル)およびrDNSデータからアクティブなIPv6アドレスを収集する。
  • 複数のベンチマークポイントからのtraceroute測定を実施し、特にルーターやその他の重要なIPアドレスを発見する。
  • ソースデータとアクティブプローブの結果を照合し、プロトコルや時間経過に伴う応答率、安定性、カバレッジを評価する。
  • 時間的安定性(最低1週間以上)を主な指標として用い、信頼性の低いアドレスをフィルタリングする。
  • 研究結果を統合し、スキャン目的に応じたソース推薦戦略を策定する。

実験結果

リサーチクエスチョン

  • RQ1受動的、アクティブ、tracerouteソースといった異なるIPv6アドレスソースは、時間経過に伴うカバレッジ(AS、プレフィックス)と応答率において、どのように比較できるか?
  • RQ2異なるソース、プロトコル、スキャンタイプにおけるIPv6アドレスの時間的安定性はいかほどか?
  • RQ3同じターゲットIPに対して、ICMPv6の応答率は、プロトコル内プローブ(例:TCP/UDPの80、443番ポート)と比較してどうか?
  • RQ4プライバシー拡張機能や動的アドレス割り当てが、アドレスリストにおける単純なIPv6アドレス数の価値をどれほど損なうか?
  • RQ5特定のスキャンタイプ(例:インターネット構造発見、セキュリティポストゥア、ルーターディスカバリ)において、カバレッジと効率性を最大化するソースの組み合わせは何か?

主な発見

  • ハイブリッド手法により、4週間にわたり1億5000万件のユニークなIPv6アドレスを収集し、発表済みの /64プレフィックスの72%、自律システム(AS)の84%をカバーした。
  • ICMPv6の応答率は、プロトコル内プローブ(例:TCP/UDPの80、443番ポート)よりも一貫して高く、Alexa 1Mリストに対しても同様の傾向が見られた。これは、ICMPv6がプローブに比べてより信頼性が高いことを示唆している。
  • ピアツーピアポート(例:udp49001)では、ICMPv6の応答率が著しく低下しており、これはホームルーターがエコー要求を破棄している可能性があるためと推測される。
  • ASの15%および /64プレフィックスの31%が、受動的ソースにのみ存在しており、完全性が必須でない場合にはこれらのソースを省略可能であることが判明した。
  • プライバシー拡張による急激なアドレスの入れ替え(churn)のため、観測されたIPv6アドレス数は誤解を招く指標である。代わりに、少なくとも1週間以上安定したアドレスに注目することで、より意味のある結果が得られる。
  • インターネット構造発見の目的では、受動的ソースとCAIDAのDNSデータセットを組み合わせることで、低コストで高いASおよびプレフィックスカバレッジが達成できる。セキュリティスキャンの目的では、アクティブソース(例:Alexa や DNS)が応答性の高いサーバーの初期カバレッジを提供する。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。